Červ Kedebe je horor bezpečnostního softwaru

Druhá varianta červa Kedebe znepřístupňuje webové stránky z infikovaných počítačů.
Virové zprávy a Bezpečnostní portál s podporou.

Červ s názvem Kedebe.B, který se šíří především prostřednictvím e -mailu, zastavuje procesy spojené s antivirovým softwarem a různými bezpečnostními aplikacemi. To výrazně oslabuje ochranu počítačů. Červ také upravuje hostitelský soubor, aby zabránil společnostem zabývajícím se vývojem bezpečnostního softwaru zobrazovat webové stránky.

Když červ Kedebe.B spustí, provede následující akce:

1. Vytvořte následující soubory:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Vytvořte neškodný textový soubor s názvem USRMGRINIT.JFX v systémovém adresáři Windows.

3. Zkopírujte se do adresářů, které mají ve jménech jedno ze slov „Shar“ nebo „Users“.
Heslo správce Cracker.exe
DVD ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Nástroj pro odstranění Mydoom.exe
Nahý teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
přidá k vašemu klíči
„Monitor Windows [název červa]“ = „[název souboru červa]“.

5. Registrační databáze
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
přidá k vašemu klíči
„Spustit“ = „[název souboru červa]“.

6. Shromážděte e -mailové adresy ze souborů s různými příponami, do kterých se přeposíláte.

Subjektem infikovaných listů mohou být:
Byla indikována neplatná verze MIME.
Selhání dodávky
Subsystém doručování pošty
Symantec Security Response. Naléhavé!
Informace o změně poštovního serveru

Název souboru připojeného k infikované poště je odebrán z následujícího seznamu:
Base64_Encoded_Message
Chyba
Náplast
Dočasný_účet_Info

7. Otevřete zadní vrátka na náhodně vybraném portu TCP. Útočníci tak mohou provádět následující akce:
- protokolování úhozu
- změnit nastavení myši
- vypněte schránku
- deaktivujte vstupní zařízení.

8. Zastaví procesy související s antivirovým softwarem a různými bezpečnostními aplikacemi.

9. Upravte soubor hosts. Díky tomu jsou webové stránky nepřístupné z infikovaného počítače.

10. Vytvoří mutex pro spuštění pouze jedné instance v systému najednou.

11. Odstraňte následující soubory (pokud existují):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Zobrazí následující okno se zprávou: